JU har beslutat att göra tvåstegsverifiering (MFA) obligatoriskt vid åtkomst till Office 365 för samtliga studenters JU-konton. Kravet kommer successivt att införas under våren.

Tvåstegsverifiering, även kallat multifaktorautentisering (MFA) är ett enkelt sätt att öka säkerheten på ditt konto och minska risken att okända loggar in med det. MFA bekräftar din identitet med något som bara du har tillgång till, utöver ditt lösenord. Det skyddar åtkomsten till Office 365 även i de fall inloggningsuppgifterna kan ha läckt ut eller blivit stulna. På samma sätt som ett bank-ID bekräftar det din identitet på andra tjänster och bidrar med en extra bekräftelse på att det är du som loggar in. Du har även möjlighet att neka inloggningsförsök som du inte känner igen.


MFA försvårar betydligt att någon annan får tillgång till ditt JU-konto, även om den personen känner till ditt lösenord. När MFA är på kan bara du komma åt ditt konto med hjälp av tillgång till en betrodd enhet. I ett första skede kommer MFA att användas för Office365-tjänster.


Regler för MFA

MFA används för åtkomst till Office365-tjänster via ditt JU-konto från privata/externa datorer och mobila enheter. MFA innebär till exempel att när du vill nå Outlook Online eller filer i OneDrive från din egen dator, behöver du utföra en extra åtgärd för att kunna logga in. Detta gäller även vid användning av egen dator på campus via eduroam. Använder du högskolans datorer kommer du inte behöva använda MFA.

 

Hur fungerar det?

När du har aktiverat MFA och via en privat/extern dator eller mobil ska logga in på IT-tjänster behöver du verifiera din inloggning med hjälp av appen Microsoft Authenticator i din mobiltelefon eller kod från SMS. IT-säkerhetsrådet rekommenderar att du använder appen för MFA. Du kommer att meddelas i inloggningsförfarandet när du behöver verifiera dig. Se till att ha notiser påslagna i verifieringsappen.

 

Stoppa obehörigt försök till inloggning

Viktigt! Får du en verifieringsförfrågan vid något tillfälle när du själv inte håller på att logga in på ditt konto: välj att neka inloggningen. Det kan vara någon annan som försöker använda dina kontouppgifter, vilket du med aktiverad MFA har möjlighet att hindra.

Varje dag utsätts många JU studenter för intrångsförsök, där den absoluta merparten av dessa försök sker från utlandet. I dag används ett gammalt skydd som togs fram innan användningen av Internet blev vanligt förekommande, nämligen lösenordet. Användarnamn och lösenord fungerar väl i avskilda system, dvs de som är instängda bakom andra skydd i form av exempelvis låsta dörrar. I takt med att fler tjänster finns i ”molnet” fungerar det inte längre lika bra att låsa sin ytterdörr.

 

Problemet med användarnamn och lösenord är att dessa enkelt kan kopieras/spridas och utnyttjas på en annan plats i världen. Det innebär att ditt JU-konto löper en större risk att utsättas för intrång.

 

Om du utsätts för ett lyckat intrång kan angriparen logga in och komma åt bland annat dina filer och mejl. Ännu allvarligare blir det då kontot kan användas i försök att komma åt andra studenters eller anställdas lösenord.

 

Då vi upptäcker ett intrång behöver kontot tillfälligt stängas av för att förhindra ytterligare skada. När ett konto tillfälligt stängs av förloras åtkomst till exempelvis mejl, filer på Onedrive och Teams samt möjligheten att logga in på Inspera och Canvas. Ett tvingade lösenordbyte behöver utföras innan du får tillbaka kontrollen på ditt konto.

Följande datum blir MFA obilgatoriskt för respektive bolag.

JTH: onsdag 1/2 2023

JIBS: onsdag 1/3 2023

HLK: måndag 3/4 2023

HHJ: tisdag 2/5 2023

JUE: måndag 15/5 2023